Sky Mavis, la société à l’origine du populaire jeu de blockchain Axie Infinity, a annoncé qu’elle était la cible d’un piratage de 625 millions de dollars. Profitant des vulnérabilités de la mise en œuvre de la chaîne latérale Ronin, le pirate informatique s’est éloigné avec environ 173 600 ETH (évalués à 594,6 millions de dollars) et 25,5 millions de dollars en dollars américains. Les experts s’attendent à ce que ce soit l’un des plus gros hacks de l’histoire relativement courte de la crypto-monnaie lorsque toutes les cartes arrivent sur la table proverbiale, mais c’est loin d’être le premier.
Axie Infinity est si populaire qu’il s’agit du marché numéro un pour les objets de collection NFT. Cela le place devant des marchés célèbres tels que OpenSea, qui a vu l’introduction des populaires NFT Bored Ape Yacht Club (BAYC) – dont le moins cher coûte actuellement ~ 130 ETH (356 000 $).
Les sidechains (également appelées chaînes L2) sont des solutions construites parallèlement aux chaînes L1 telles que Bitcoin, Ethereum et Algorand. Ces solutions aident à contourner la congestion de la blockchain en déchargeant les transactions qui se produiraient sur la chaîne L1 vers les sidechains plus rapides, généralement personnalisées. Aussi connus sous le nom de ponts ou trous de ver, ceux-ci permettent aux utilisateurs d’apporter leurs fonds de chaîne L1 (dans ce cas, Ethereum) à d’autres écosystèmes de blockchain. La crypto transférée vers ces chaînes est verrouillée en garantie, et une valeur équivalente est frappée dans le jeton que la chaîne utilise pour fonctionner. Étant des cibles relativement stationnaires dont la valeur verrouillée ne fait qu’augmenter avec le temps, les ponts sont des cibles particulièrement attrayantes pour les mauvais acteurs.
L’exploit a été réalisé en frappant d’abord la sidechain Ronin. La chaîne latérale Ronin fonctionne un peu comme les autres crypto-monnaies, avec des nœuds de confiance validant les transactions. Cependant, ils sont toujours soumis à 51 % d’attaques : si plus de la moitié du réseau est compromis, les acteurs peuvent alors écrire les transactions qu’ils souhaitent dans la chaîne, ce qui sera confirmé par la majorité des validateurs (piratés).
Dans ce cas, Ronin n’avait que neuf nœuds de validation, dont l’attaquant en a compromis cinq. C’était plus que suffisant pour détourner des sommes impies. C’est l’une des principales raisons pour lesquelles la décentralisation est un facteur si essentiel pour la technologie blockchain : plus il y a de nœuds et plus ils sont décentralisés, plus il est difficile d’effectuer de telles attaques (du moins en théorie).
Sky Mavis a rapidement verrouillé toutes les transactions réseau et a augmenté les exigences de validation de cinq nœuds à huit nœuds sur les neuf en tant que palliatif pour toutes les vulnérabilités exploitables de la même manière qui n’ont pas encore été corrigées. Le pont Ronin reste inutilisable et d’autres chaînes (comme Binance) ont déjà désactivé leurs propres ponts vers Ronin.
« Nous sommes en contact avec les équipes de sécurité des principaux échanges et nous contacterons tout le monde dans les prochains jours », a déclaré la société. « Nous sommes en train de migrer nos nœuds, qui sont complètement séparés de notre ancienne infrastructure. »
Sky Mavis a également annoncé qu’elle travaillait avec Chainalysis pour surveiller les fonds volés, qui semblent actuellement rester inactifs dans le portefeuille de l’attaquant identifié. Malheureusement, cela pourrait être le cas pendant un certain temps. Selon toute vraisemblance, et compte tenu du silence apparent des pirates, Sky Mavis n’aura pas la même chance que la chaîne L2 Polygon, qui a vu un piratage tout aussi impressionnant de 611 millions de dollars en août 2021. La quasi-totalité des fonds volés a ensuite été restituée. , mais pas avant que le pirate ne se compare à Batman.